YARA

Source et contexte: Rubrik Zero Labs publie une analyse intitulée Unmasking the Invisible: Hunting and Defeating EDR-Evading Threats Like BRICKSTORM, soulignant que les EDR traditionnels ne tournent pas (ou ne peuvent pas) sur des appliances telles que VMware vCenter Server Appliance (VCSA) et d’autres équipements réseau Linux/BSD — une surface dont des acteurs malveillants tirent parti. 🔍 L’article met en avant des règles YARA signées par Google Threat Intelligence Group (GTIG) pour identifier le backdoor BRICKSTORM. Les règles référencées incluent G_APT_Backdoor_BRICKSTORM_3, G_Backdoor_BRICKSTORM_2, G_APT_Backdoor_BRICKSTORM_1 et G_APT_Backdoor_BRICKSTORM_2, avec des conditions ciblant des binaires ELF (vérifications de magie ELF comme 0x464c457f / 0x7F454C46) et des motifs d’obfuscation/décryptage. ...

Source : Elastic Security Labs — Des chercheurs présentent « FlipSwitch », une technique de rootkit Linux capable de contourner le nouveau mécanisme de dispatch des syscalls introduit dans le kernel 6.9. Le noyau Linux 6.9 a remplacé la table sys_call_table par un dispatch via switch pour neutraliser le hooking classique des syscalls. FlipSwitch contourne cette défense en modifiant directement le code machine du dispatcher des syscalls (x64_sys_call), évitant toute dépendance à la sys_call_table désormais non utilisée pour le routage effectif. ...

Selon SentinelLabs (blog de recherche de SentinelOne), une nouvelle catégorie de menaces émerge : des malwares « activés par LLM » qui génèrent leur logique malveillante au runtime, plutôt que de l’embarquer en clair. L’étude présente des techniques de détection basées sur la recherche de motifs de clés API et la « chasse aux prompts », permettant d’identifier des échantillons inconnus, dont « MalTerminal », potentiellement l’un des premiers malwares de ce type. ...

Source: viuleeenz.github.io — L’auteur détaille une méthodologie de chasse aux menaces à partir d’un unique IOC issu d’un article de Unit42 sur le malware Gremlin Stealer, en s’appuyant sur VirusTotal pour relier des échantillons, extraire des indicateurs et monter en généralité sans recourir lourdement au reversing. L’analyse combine indicateurs statiques et comportementaux pour relier des échantillons: horodatage futur (2041-06-29 19:48:00 UTC), marque/copyright trompeurs (“LLC ‘Windows’ & Copyright © 2024”), et métadonnées .NET comme MVID et TypeLib ID pour le clustering. L’auteur souligne que si les caractéristiques statiques sont faciles à modifier, les contraintes comportementales le sont moins et constituent des pivots plus robustes. ...